Print:

Browser Afhankelijkheid

Lex Borger, Consultant Information Security

LinkedIn profiel

Internet Explorer had zijn eerste post-Windows XP zero-day[1]. Dit was het moment waar de hele beveiligingswereld op lag te wachten, want hiermee zou de eerste permanent blijvende kritieke kwetsbaarheid op Windows XP ontstaan – voor particuliere gebruikers, die geen patches meer krijgen. Microsoft heeft dit probleem onderkend en heeft wél een patch beschikbaar gemaakt.

Voordat de patch beschikbaar was, heb ik wat discussies mogen meemaken bij bedrijven die worstelden met de aanpak van de kwetsbaarheid. Wat mij in deze discussies verbaasde was dat we zo afhankelijk zijn van één merk browser, en dan nog vaak ook één versie. Kennelijk zijn er een heleboel web-applicaties gebouwd die alleen werken op, bijvoorbeeld, Internet Explorer 6. Tevens lees ik als lezers-reactie op security-sites dat ‘het antwoord’ is om naar [ Google Chrome | Firefox | Opera ] over te stappen. Alsof deze browsers zonder enig zero-day probleem zijn.

Als ik dan hoor dat er leveranciers zijn die met droge ogen een web-applicatie opleveren die alleen op IE6 werkt ‘omdat de klant hier om gevraagd heeft’, zijn de grenzen van mijn inleving overschreden. Zelfs als een klant bij de opdracht aangeeft dat iets moet werken op IE6, wil dat niet zeggen dat hier een keiharde beperking ingebouwd moet worden. In mijn ogen zou hier sprake moeten zijn van zorgplicht bij de leverancier.

Maar ik wil verder gaan: In een tijd van ver-cloud-ing van diensten zou het juist een harde eis moeten zijn dat webstandaarden gebruikt worden, en op zo’n manier dat zonder poespas functionaliteit draait op alle gebruikelijke browserplatformen. En als de web-applicatie er daardoor wat minder sexy uitziet, moeten we dat maar op de koop toe nemen. Houd ook de poespas om verschillende client-vormen te herkennen en ondersteunen functioneel. Ik kan begrijpen dat een smartphone versie van de site er soms anders uit moet zien dan de ‘gewone’ versie, maar schiet niet door. Richt je juist op een ontwerp dat dynamisch schaalt op basis van het vensterformaat.

Uiteindelijk wordt het hier allemaal simpeler door, en toepassing van het KISS (keep it simple, stupid) principe maakt het ook veiliger. We moeten onze intelligentie gebruiken om het product zo te maken dat het domweg eenvoudig in te zetten is en te onderhouden is. In de cloud-wereld geldt dit meer dan ooit.

Lex Borger

Lex is een redacteur voor het vakblad ‘Informatiebeveiliging’, wat gepubliceerd wordt door het PvIB (‘Platform voor Informatiebeveiliging’). Daarnaast is hij ook trainer bij IIR van o.a. de praktijktraining Security Architectuur.

Wij gebruiken cookies om IIR.nl gemakkelijk te maken. Bezoekt u onze website, dan gaat u akkoord met deze cookies meer informatie

De cookie-instellingen op deze website zijn ingesteld op 'toestaan cookies "om u de beste surfervaring mogelijk. Als u doorgaat met deze website te gebruiken zonder het wijzigen van uw cookie-instellingen of u klikt op "Accepteren" hieronder dan bent u akkoord met deze instellingen.

Sluiten